Pada awal September 2019 lalu, data konsumen dari anak perusahaan Lion Air yakni Malindo Air dan Thai Lion Air mengalami kebocoran. Hal tersebut diungkapkan oleh perusahaan keamanan siber Kaspersky Lab, dan setidaknya sebanyak 21 juta data penumpang bocor dan diunggah ke forum daring. Atas peristiwa tersebut, Kementerian Komunikasi dan Informatika (Kominfo) sudah melakukan pertemuan dengan pihak Lion Air. Dari pertemuan itu, Kominfo sudah meminta klarifikasi dari pihak Lion Air terkais insiden tersebut.
Menurut Direktur Riset Lembaga Studi dan Advokasi Masyarakat (ELSAM), Wahyudi Djafar, Kominfo memiliki keterbatasan langkah dalam menyikapi kasus kebocoran data ini. Pasalnya, sejauh ini Indonesia belum memiliki aturan yang jelas mengenai perlindungan data pribadi. Pelanggaran-pelanggaran terhadap data pribadi baru diatur sebatas Peraturan Menteri, belum setingkat UU.
“Terbatasnya langkah yang dapat diambil oleh Kominfo, salah satunya dikarenakan tidak adanya undang-undang yang secara komprehensif mengatur perlindungan data pribadi di Indonesia. Ini yang jadi problemnya,” kata Wahyudi kepada hukumonline, Senin (23/9).
Sebagai akibat dari kekosongan hukum ini, lanjutnya, Lion Air selaku pengendali data (data controller) terhindar dari kewajiban-kewajiban yang sepatutnya dilekatkan selaku pengendali data pribadi. Secara umum, pengendali data memiliki kewajiban untuk menjaga infrastruktur keamanan data pribadi pengguna layanannya, yang meliputi penerapan pseudonymization dan enkripsi data pribadi, serta memberikan jaminan kerahasiaan, integritas, ketersediaan, dan ketahanan yang berkelanjutan dari sistem dan layanan pemrosesan.
Selain itu, Lion Air juga berkewajban memiliki kemampuan untuk memulihkan ketersediaan dan akses ke data pribadi dalam waktu yang tepat (tidak menunda-nunda) dalam hal terjadi insiden fisik atau teknis (i.e. kebocoran data), dan menerapkan proses pemantauan dan evaluasi secara teratur serta audit terhadap efektivitas langkah-langkah teknis dan organisasi untuk memastikan keamanan pemrosesan (termasuk menerapkan Privacy by Design dan Data Protection Impact Assessments (DPIAs)).
Di sisi lain, kekosongan hukum juga berdampak pada hilangnya hak-hak pelanggan sebagai subjek data, khususnya hak atas informasi dan hak atas pemulihan serta kompensasi. Jika merujuk pada PP No. 82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik, khususnya di pasal 15, Lion Air wajib memberitahu perihal kebocoran data kepada konsumen.
Pasal 15: “Jika terjadi kegagalan dalam perlindungan rahasia Data Pribadi yang dikelolanya, Penyelenggara Sistem Elektronik wajib memberitahukan secara tertulis kepada pemilik Data Pribadi tersebut”. |
“Detailnya, jika terjadi kebocoran pemberitahuan kepada pemilik data harus berisi kategorisasi data pribadi apa saja yang bocor, jumlah subjek data yang terdampak, informasi kontak petugas perlindungan data pribadi yang dapat dihubungi, konsekuensi yang mungkin terjadi sebagai dampak dari kebocoran, dan langkah-langkah yang telah diambil oleh pengendali data untuk mengatasi kebocoran (termasuk mitigasi kejadian serupa di masa mendatang),” jelasnya.
Sementara di sisi lain, langkah yang bisa dilakukan konsumen adalah dengan mengatur ulang password di mana data pribadi tersimpan. Setelah itu, konsumen bisa menyampaikan laporan kepada Kominfo terkait kebocoran data sesuai dengan PP 82/2019.
“Laporan nanti ditindaklanjuti dengan musyawarah dan pertemuan secara tripartit dengan pengendali data. Jika salah satu pihak atau konsumen tidak setuju dengan hasilnya, maka kemungkinan mengajukan gugatan perdata ke pengadilan,” imbuhnya.
Bagaimana dengan kompensasi? Menurut Wahyudi, sampai dengan saat ini Indonesia tidak memiliki panduan yang memadai, terkait dengan langkah-langkah penanggulangan ketika terjadi kebocoran, termasuk pihak yang harus melakukan investigasi. Lain halnya dengan Inggris misalnya, ketika terjadi kebocoran 500.000 data penumpang British Airways pada 2018 lalu, maskapai tersebut dikenakan denda hingga 183 juta poundsterling (Rp3 triliun).
(Baca: Perlindungan Data Konsumen Harus Jadi Prioritas Industri Fintech)
Hal ini dimungkinkan karena Inggris memiliki lembaga independen yang menjalankan fungsi pengawasan terhadap perlindungan data, melalui Komisi Informasi Inggris (ICO). Lembaga inilah yang memiliki wewenang untuk menginvestigasi, dan kemudian menjatuhkan sanksi denda bagi perusahaan, sebagai pengendali data.
Pelaksanaan investigasi pun dimungkinkan karena sebelumnya British Airways telah memberikan pemberitahuan kepada Komisi, bahwa telah terjadi kebocoran data pribadi penumpangnya. Langkah-langkah penanggulangan ini dimungkinkan, karena adanya hukum perlindungan data yang komprehensif.
“Di PP 82/2012 itu ada sanksi, tapi sanksinya hanya sanksi administrasi seperti teguran tertulis, denda administrasi dan sebagainya,” ungkapnya.
Pasal 84: (2) Sanksi administratif sebagaimana dimaksud pada ayat (1) dapat berupa: a. teguran tertulis; b. denda administratif; c. penghentian sementara; dan/atau d. dikeluarkan dari daftar sebagaimana dimaksud dalam Pasal 5 ayat (4), Pasal 37 ayat (2), Pasal 62 ayat (1), dan Pasal 65 ayat (4). |
Meski pemerintah telah merampungkan proses penyusunan RUU Perlindungan Data Pribadi, dan RUU ini masuk sebagai salah satu prioritas Prolegnas 2019, Wahyudi menyayangkan hingga saat ini Pemerintah tak kunjung menyerahkannya ke DPR untuk dilakukan pembahasan bersama.
Hal ini dinilai bertolak belakang dengan komitmen yang disampaikan Presiden Joko Widodo dalam Pidato Kenegaraan pada 16 Agustus 2019 lalu yang menegaskan bahwa "Data pribadi harus dilindungi. Regulasinya harus segera disiapkan tidak boleh ada kompromi!! Sekali lagi, inti dari regulasi adalah melindungi kepentingan rakyat, serta melindungi kepentingan bangsa dan negara."
Menimbang situasi di atas, serta kebutuhan mendesak hukum perlindungan data pribadi yang komprehensif, Lembaga Studi dan Advokasi Masyarakat (ELSAM) menekankan empat hal. Pertama, Kominfo meminta kepada pihak Lion Air untuk memberikan informasi lebih lanjut terkait jumlah data penumpang yang terdampak, data apa saja yang bocor, dan langkah-langkah apa saja yang telah diambil oleh pihak Lion Air untuk menangani dan mencegah terulangnya insiden kebocoran data pribadi penumpang.
Kedua, Kominfo harus mengoptimalkan keseluruhan regulasi dan prosedur yang diatur di dalam PP No. 82/2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik, juga Permenkominfo No. 20/2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik, untuk mengambil langkah dan tindakan terhadap pengendali data, juga memastikan pemulihan bagi para pemilik data;
Ketiga pemerintah untuk segera menyerahkan RUU Perlindungan Data Pribadi kepada DPR, guna dilakukan proses pembahasan bersama, dan segera dilakukan pengesahan. Selain itu, mengingat periode DPR yang akan segera berakhir pada akhir September ini, juga penting memastikan kontinuitas pembahasannya pada periode DPR berikutnya.
Sementara itu dikutip dari situs resmi Kominfo, Senin (23/9), Kominfo telah melakukan pertemuan dengan perwakilan Lion Air Group untuk membahas tentang adanya kejadian leak dan breach atau kebocoran data penumpang. Secara khusus, Kementerian Kominfo meminta Lion Air untuk mengambil langkah pengamanan data pribadi penumpang.
Dalam pertemuan yang berlangsung antara Direktur Jenderal Aplikasi Informatika Kementerian (Aptika) Kominfo Semuel Abrijani Pangerapan bersama dengan Managing Director Lion Air Group Daniel Putut Kuncoro Adi, telah dibahas tentang kondisi yang terjadi serta tindak lanjut untuk penanganan dan pengamanan data penumpang.
“Kami sudah bertemu dan berkoordinasi untuk mendapatkan klarifikasi dari Lion Grup,” kata Dirjen Semuel usai pertemuan di Jakarta,
Managing Director Lion Air Group Daniel Putut Kuncoro Adi mengatakan, pihak Lion Air Group dalam hal ini juga menjadi korban atas kebocoran data pribadi penumpang. “Memang kami dalam hal ini menjadi korban, dan begitu informasi ini menjadi viral dalam bentuk screenshot, kami langsung menindaklanjuti dengan semua administrator kami. Kami juga langsung mengamankan pada hari itu juga seluruh data,” kata Putut.
Saat ini, langkah yang diambil oleh Lion Air adalah mengambil aksi pelaporan dan tuntutan hukum bagi pelaku pencurian dan pembocoran data penumpang. “Kami bisa pastikan sampai dengan saat ini data penumpang itu sudah tidak bocor lagi pada yang lain-lainnya. Dan begitu berita ini viral langsung kami melakukan legal action kepada pihak berwenang di Malaysia dan sedang dalam proses investigasi,” tambahnya.